@Sophia
2年前 提问
1个回答

网站渗透测试什么区别

在下炳尚
2年前

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。它与漏洞扫描的区别为:

概念不同

渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法;通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动的主动分析,这个分析是从一个攻击者可能存在的位置来及进行的,并且从这个位置有条件主动利用安全漏洞。

漏洞扫描简称漏扫是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的的一种安全检测安全脆弱性进行检测,发现可利用漏洞的一种安全检测。漏扫的工具我们在工作中一般都是使用NESSUS、awvs、OpenVAS、NetSparker、OWASP ZAP等工具。一般的漏洞扫描分为网络扫描和主机扫描。通过漏洞扫描,扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。

工作流程不同

渗透测试的一般过程主要有明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、信息整理、形成测试报告。渗透测试操作难度大,而且渗透测试的范围也是有针对性的,而且是需要人为参与。听说过漏洞自动化扫描,但你绝对听不到世界上有自动化渗透测试

漏洞扫描是在网络设备中发现已经存在的漏洞,比如防火墙,路由器,交换机服务器等各种应用等等,该过程是自动化的,主要针对的是网络或应用层上潜在的及已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用的。漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些产品,需要拥有特定于产品的知识。

性质不同

渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。

消耗成本以及时间不同

相比大家都知道渗透测试与漏洞扫描的成本以及消耗的时间,一般来说渗透测试需要前期的各种准备工作,前期信息资产收集的越全面,后期的渗透就会越深入,不仅是一个由浅入深的过程,更是一个连锁反应;相比漏洞扫描这个消耗的时间就要小的多了。之前我们在对客户做渗透和漏扫进行报价的时候都会遇到客户抱怨渗透比漏扫花费的经费高好几倍。但是通过介绍渗透测试的流程也就不觉得价格高,毕竟前期投入的大量人力、物力以及最后输出的成果。一个项目周期的话渗透测试次数一般在2-4次,新的业务上线这个是必做的。漏洞扫描一般都是定时自动化扫描的。